企業にとって情報防衛は重要な経営課題になっている。サイバー攻撃の手法が多様化している上、情報漏えいの経路も複雑化しつつある。社内資料や顧客情報が流出したことで損害を被る企業は後を絶たない。企業は自社のビジネスモデルや予算を考慮し、できることからセキュリティー強化に取り組むことが求められている。
以前から被害が多く出ているサイバー攻撃の一つに、ウイルスメールを使った「標的型攻撃」がある。
ハッカーは攻撃対象となる企業や組織を選定した後、社員などの中からウイルスを感染させる相手を決め、ウイルスに感染させるためのメールをターゲットに送る。
ウイルスに感染したパソコンを踏み台にしてハッカーは企業内部のシステムに侵入。情報を盗んだり、データを改ざんしたりするという。
ハッカーは就職希望者を装って人事担当者にウイルスメールを送るなど、手口は年々巧妙化している。
ウイルスを感染させる手口はメールのほか、攻撃対象の企業の社員が頻繁に閲覧するウェブサイトを改ざんし、閲覧しただけでウイルスをダウンロードするコードを埋め込むケースもある。
近年、特に増えているサイバー攻撃は、ウェブサービスへの不正ログインだ。大手通販サイトやソーシャル・ネットワーキング・サービス(SNS)のユーザーのアカウントが第三者に乗っ取られる事件が目立つ。
ハッカーは他社から流出したIDとパスワードを収集し、それらをランダムに組み合わせてログインを試みる「リスト型攻撃」などを仕掛けることが多い。
ハッカーはアカウントを悪用して個人情報を盗んだり、なりすましによる犯罪を行ったりする。複数のウェブサービスでパスワードを使い回しているユーザーは、不正ログインの被害に遭いやすいとされる。
従来の情報漏えいの主な原因は、悪意を持った第三者がインターネットを介して内部システムに入り込み、情報を盗むものが多かった。しかし、近年は内部者が顧客情報を流出させる事件も増えている。
14年6月にはベネッセコーポレーションが業務を委託していたグループ会社の社員が、転売目的でベネッセの顧客情報を盗み出した。今年1月には、コールセンター大手のトランスコスモスの元契約社員が、クライアントの顧客情報を個人的に持ち出したことが判明している。
10年には海上保安官が日本の巡視船と中国漁船の衝突映像をユーチューブに投稿しており、内部者による情報漏えいは、あらゆる組織で起こる可能性がある。
内部者が原因となる情報漏えいでは、社員がSNSで不用意に社内情報を公開し、企業が損失を負うケースも増えている。
顧客情報が流出すれば信用を失う上、莫大な金銭補償を強いられることもある。事業に関する社内情報が流出すればライバル企業に利益を与えかねない。
内部者による情報漏えいはシステムによる対策に加え、社員教育などソフト面での対策も必要だ。
被害に遭うまで情報セキュリティーの重要性を実感しにくいが、実際に情報漏えいが起きれば企業は致命傷を負いかねない。対策には手間と費用が掛かるが、企業の信頼を守るために欠かせないコストだと認識する必要がある。
全ての情報漏えいリスクから企業を守る特効薬はない。企業は第三者がネットワークに侵入することを防ぐセキュリティーシステムや社員教育、ユーザーへの注意喚起など、複合的に対策を講じることで情報漏えいの確率を下げる必要がある。
■掲載企業
・テコラス
・日本ラドウェア
など
(続きは日本流通産業新聞 4月2日号で)
【情報セキュリティー最前線】 多様化するサイバー攻撃 求められるセキュリティー強化/情報防衛は全企業の課題に
記事は取材・執筆時の情報で、現在は異なる場合があります。